'Børnehavehackeren' frifundet i Landsretten

Opdateret kl. 18.25. Efter Henrik Høyer i 2015 blev tiltalt for hærværk og hacking af sin søns børnehaves it-system, kan han nu ånde lettet op. Landsretten frifandt ham i går.

»Jeg er en frikendt mand.«

Det kunne Henrik Høyer lettet konkludere på sin Facebookgruppe, efter Østre Landsret i går tirsdag frifandt ham for en tiltale, der lød på hacking og hærværk.

Sagen, som Version2 tidligere har omtalt, begyndte ved, at Henrik Høyer testede sikkerheden ved et nyt it-system, som hans søns børnehave, Frændehus i Køge, havde anskaffet sig.

Systemet blev leveret af Infoba, og blev i 2015 brugt af samtlige børnehaver i 11 kommuner. Henrik Høyer mente at kunne påvise, at systemet indeholdt adskillige sikkerhedshuller.

Bla. skulle systemet ifølge Henrik Høyer give adgang til til børns personlige oplysninger blot ved at ændre i et id-nummer i adresselinjen i browseren.

Læs også: Softwareudvikler er tiltalt for hacking og hærværk mod it-system i søns børnehave

Domsresuméet er endnu ikke offentliggjort på domstol.dk, men ifølge Infoba har Landsretten afgjort, at selskabets system indeholdt ét sikkerhedshul og ikke gav adgang til personlige oplysninger.

Kun hacking via Cross Site Scripting, XSS, slap igennem.

Tiltalt for hærværk

Tilbage ved opdagelsen kontaktede Henrik Høyer leverandøren af systemet, Infoba, da han blev bekendt med sikkerhedshullerne.

Infoba mener ikke, der var tale om en henvendelse, der angav sårbarheder.

»Det eneste vi har modtaget fra HH (Henrik Høyer, red.) er en mail om et certifikat, uden relation til de hackingforsøg, han satte ind få minutter efter,« skriver produktchef Torben Væring, Infoba, til Version2.

Selskabet valgte efterfølgende at kontakte politiet som følge af XSS-angrebet, hvilket førte til en tiltale fra Statsanklageren for hacking og hærværk.

Tiltalen blev rejst på baggrund af, at Henrik Høyer ved hjælp af script injection-metoden i systemet sendte en besked til samtlige forældre, hvori der stod »Ring til Infoba og sig, at jeres nye intranet-løsning er blevet hacket.«

Læs også: Dom faldet i kontroversiel børnehave-hackersag

Tilbage i 2015 sagde Infobas produktchef, Torben Væring til Version2, at »Jeg bliver nødt til som it-ansvarlig at tage det seriøst, når vores system bliver hacket,«.

Sagen havde rent principiel karakter, da der i forvejen ikke var præcedens fra lignende sager. Derfor vil mange nok glæde sig over, at Henrik Høyer er frifundet.

Anklagemyndigheden havde krævet Henrik Høyer fængslet i 10 dage, men det krav var dommerne i Landsretten altså ikke enige i.

»Det betyder, at de ikke mener, at det jeg gjorde var ulovligt. Det betyder, at jeg og andre kan gøre det samme igen - vi kan råbe vagt i gevær, når vi ser problemer med it-systemer,« siger Henrik Høyer i en video på Facebook.

Læs også: Version2’s læsere: Ingen ved deres fulde fem vil indrapportere sikkerhedshuller

Det fulde referat af dommen - og dermed en detaljeret begrundelse for frikendelsen - bliver formentlig først offentliggjort om nogle dage.

I første omgang blev Henrik Høyer kendt skyldig i byretten i Roskilde, men Øster Landsret har nu altså valgt at frifinde ham. Afgørelsen betyder også, at Henrik Høyer ikke skal betale en bøde på omkring 50.000 kroner, som byretten ellers havde tildelt ham.

Opdateret 16:50 med citat fra Henrik Høyer.

Opdateret kl. 18.25 med detaljer fra Landsrettens afgørelse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (33)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ivo Santos

Kære Henrik!, jeg får næsten lyst til at sige tillykke med sejren i landsretten!!..

Det er måske ikke helt det samme men hvis Henrik havde tabt i landsretten så burde jeg vel også straffes for ved et uheld og have brugt en tidligere vaskemaskine i den SAB / KAB afdeling jeg bor i.

  • 17
  • 0
Torsten Hagemann

Til lykke med dommen, det var godt at få prøvet dette ved en højere retsinstans end byret (de har før haft problemer med den slags sager, fx https://www.computerworld.dk/art/26013/mild-dom-til-valus-hacker-to-frif...)

For nylig opdagede jeg et lignende problem i et betalingssystem, checkede hurtigt om det var korrekt (det var det), og overvejede seriøst om jeg turde informere leverandøren. Jeg valgte at skrive til dem, og blev sat i kontakt med deres IT-chef - som takkede mange gange for informationen, konstruktivt spurgte til et par detaljer, og gav et par fribilletter til et af stedets arrangementer som tak for hjælpen. Hvis bare alle leverandører/IT chefer havde den attitude, det var en meget positiv oplevelse.

Men nu er der i det mindste en landsretsdom for at man ikke bliver dømt for hacking hvis man prøver at hjælpe, det er da et skridt i den rigtige retning.

  • 21
  • 0
Jens Jönsson

Tilbage i 2015 sagde Infobas produktchef, Torben Væring til Version2, at »Jeg bliver nødt til som it-ansvarlig at tage det seriøst, når vores system bliver hacket,«.

Det må siges at være den helt forkerte måde at tage det seriøst på. Håber at Torben Væring nu har fået en gevaldig lærestreg og har lært at sikre hans programmer fremadrettet....

  • 15
  • 0
Simon Mikkelsen

Det ville være dejligt hvis Version 2 ville skrive om årsagen til frifindelsen.

Selv mener jeg det er dejligt at han blev frifundet. Har selv meldt sikkerhedsfejl 2 gange. De ene blev jeg ringet op af en meget sur mand der truede med politianmdelse, og anden gang kom der en takke-mail fra en lead developer.

Min strategi har begge gange været at jeg havde en mistanke som jeg gjorde det absolut minimale for at bekræfte. Derefter har jeg kontaktet leverandøren af softwaren. Jeg ville ikke turde gå så hårdt til værks som i denne sag, fordi jeg ikke gider risikere, hvad en idiot med en advokat kan finde på.

  • 16
  • 0
René Nielsen

Man burte vel også sende et tilløkke til Infobas for at landsretten har redet dem ud af den situation deres eget snæversynede, arrogante og totalt urimelige opførsel skabte.


Jeg tror Infobas sidder og skummer over at deres hacker er blevet frikendt.

Man kunne håbe anderledes - men det er for naivt, som jeg husker deres uprofessionelle og velnok paniske optræden.

  • 15
  • 0
Lasse Offt

Ærgeligt jeg for nyligt slettede min mail korrespondance med Nicoline Mygind, hvor jeg kraftigt kritiserede Infoba for deres håndtering af sagen og hvor forkert og uvidende det er lægge sag an mod en så kaldt white hat hacker. Hun/De gjort det klart at deres system var sikkert og han var en ond mand. De burde i stedet takke manden for det arbejde de ikke selv evner at udføre. Jeg kunne godt tænke mig at have skrevet tilbage, "Jeg fik ret, så kan i lære det"

Så, hvis du læser med, Nicoline Mygind, så kan i lære det!

  • 14
  • 1
Lars Skovlund

Jeg oplevede for snart 20 år siden, at man havde kørt en rundspørge på mit gymnasium med den klare besked, at data ville blive anonymiseret og behandlet fortroligt. Jeg har glemt hvad det handlede om. En del tid senere skal jeg "et niveau op" på skolens dybt nestede hjemmeside (med dårlig brugergrænseflade), og sletter derfor det sidste led i URL'en jeg står på. Resultatet var en liste over filer i det pågældende dir. Og der lå naturligvis - en Access-database med de førnævnte fortrolige data i. Ikke anonymiseret.

Tilfældigvis er den første lærer jeg får fat i underviser i erhvervsret. Og - uden at kende alle sagens kendsgerninger - konstaterer hun at det er "hacking", dog uden at der skete mere. Jeg sagde ikke noget til IT-afdelingen oven på den smøre. Hun var iøvrigt lærebogsforfatter.

  • 13
  • 0
Michael Hansen

Var til et event hvor Lena Andersen fra Datatilsynet talte om GDPR, ud af 35 i tilsyns afdelingen, ville de have 4½ medarbejder til at føre tilsyn med GDPR, de har sat 2 årsværk af til det, lovgivningen i DK (der er en masse ud over selve forordningen) er ikke på plads endnu, måske når folketinget det inden forordningen træder i kraft, måske ikke, ingen ved rigtigt noget, penge og ekstra ressourcer har de ikke rigtigt set skyggen af, betænkningen til forordningen er ikke færdig endnu.

Alt i alt, tydeligt de slet slet ikke får ressourcerne til at håndtere det her ordentligt, det er meningen de skal være mere proaktiv til at kontrollere virksomhederne, men de har reelt kun ressourcer til at reagere hvis nogen bringer en sag til dem.

Men derudover enig, med GDPR vil det koste infoba kassen, hvis noget lignende sker, og datatilsynet rent faktisk har ressourcerne til at håndtere GDPR sagerne.

  • 3
  • 0
Kristian Schjørring

Nej det bliver ikke jf. GDPR. Det offentlige i dette tilfælde en kommune (som er dataejer) kan ikke straffes for overtrædelse af GDPR! Det ligger indenfor GDPR at nationalstaterne selv kan bestemme om de vil straffe "sig selv". Det har justitsministeriet for længst taget stilling til at vi IKKE skal i DK. Altså er det offentlige undtaget for sanktioner ifm GDPR. De skal naturligvis følger loven, men det har bare ingen strafferetslige konsekvenser hvis de ikke gør det.

  • 3
  • 0
Kristian Schjørring

I forlængelse:
Kommunes aftale med Infoba som databehandler bør naturligvis naturligvis fremadrettet omfatte en klausul om at Infoba skal overholde GDPR, og eventuelt skal betale bod hvis de ikke gør det.
Dataejer er forpligtet til at sikre sig, at databehandler lever op til kravene og dokumentere det, men det har kommunen hverken ressourcer eller kompetencer til, og de har jo defacto "straffrihed".
Vil der være et krav om bod? Måske, men det vil sikkert forhøje prisen, og igen har kommunen "straffrihed", altså intet i klemme, så de vil sikkert tænke mere på prisen.

  • 0
  • 0
Knud Larsen

Hvem var så tossede, at man kunne lade sagen gå så langt og bruge så mange ressourcer på noget så fjollet.
Hvor er den sunde fornuft henne?
Det smager lidt for meget af magthavere vil have ret - det gik så ikke denne gang.
men med teknikaliteter for en dommer kan man aldrig vide.
venter spændt på dommernes konklusion!!
Husk det nu - de ter der tæller en anden gang.

  • 5
  • 1
Morten F. Hansen

Endelig bliver det 'lovligt' at finde og påtale svagheder i dårligt implementeret webbaserede systemer, hvor sikkerhed ikke er tænkt med fra første færd. Nu mangler vi blot en vejledning i og en generel fælles forståelse af, hvordan man - på en god måde - skal gøre leverandører opmærksom på svagheder uden at blive sagsøgt. Målet må være, at vi hjælper hinanden med at beskytte vores data, og ikke at vi afsøger huller i ond tro.

  • 4
  • 0
Karsten Nyblad

Landsretsdomme fastlægger, hvad der er sket, og den del kan ikke ankes. Denne her sag drejer sig bare ikke om, hvad der er sket. Den drejer sig mere om, hvad Henrik Høyer har gjort. Den drejer sig om, hvor vidt det er lovligt, hvad han har gjort, og det kan ankes til højesteret.

  • 1
  • 0
Michael Hansen
  • 1
  • 0
Sune Marcher

Det er fint at Landsretten har frikendt Henrik, og der er ingen tvivl om at Infoba er nogle klaphatte der har håndteret sagen elendigt.

Når det så er sagt, så har Henrik altså også opført sig uprofessionelt, tangerende barnligt. Det er ikke god stil at udnytte XSS på den måde han har gjort det, specielt ikke sitets målgruppe taget i betragtning - "Ring til Infoba og sig, at jeres nye intranet-løsning er blevet hacket." er ikke blot forkert, men kan gøre almindelige mennesker ret bekymrede.

Infoba påstår de ikke er blevet informeret om XSS'en. Hvis det er sandt, har jeg ikke ret meget til overs for Henriks opførsel. Hvis de lyver (hvad jeg ikke anser for umuligt) og har ignoreret henvendelse om XSS er det en anden situation - men burde stadig have været håndteret anderledes.

  • 6
  • 0
Denny Christensen

Og kan vi så komme tilbage til starten (udover at landsretten burde have afvist at føre sagen):

Hvordan i alverden kan en leverandør levere et system med så åbenlys og kendt fejl? Og er de ikke erstatningspligtige overfor kunden?

  • 2
  • 0
Tim Carstensen

GDPR er en forordning for EU og ikke et direktiv, og det gælder pr. Definition for Danmark. Det er også endeligt vedtaget og gældende, men træder først i kraft i maj 2018. Der er en del hvor de enkelte nationalstater har en vis frihed i enkelte paragraffer. Men den er vedtaget - også i Danmark.

Den mest interessante del de danske politikere skal tage stilling til er hvorvidt offentlige dataejere / databehandlere kan idømmes på samme måde som private.
Så hvis man ønsker at offentlige chefer skal tage vores data mere alvorligt end de gør i dag - Så skal man tage fat i sin repræsentant på tinge og hjælpe vedkommende til at træffe den rigtige beslutning. Nogen vil måske indvende sådanne bøder er at flytte penge fra en kasse til en anden - jeg vil dog tro at en bøde til en kommune, af de størrelser GDPR lægger op til, vil sikre en hvis fokus på sikkerheden.

  • 1
  • 0
Denny Christensen

Desværre jo, ikke kun programmører men alle der bare fiser derudaf og implementerer funktionalitet og med tidspres behændigt undlader at tage stilling til de mere kedelige aspekter af systemudvikling og projektarbejde..

  • 0
  • 0
Hans Nielsen

Dommen gælder jo kun for halvdelen af landet, og er meget principielt ?

Selv om det har meget personlig omkostninger for Henrik.

Men stadig tillykke, det er ud over en personligt, men også en vigtigt sejre for os som samfund. Tak for at du ville tage kampen.

  • 1
  • 0
Log ind eller Opret konto for at kommentere